מה זה אבטחת מידע אפליקטיבית?
כאשר
אנו מדברים על התחום של אבטחת מידע, יש לחלק אותו בעצם לשני תתי-תחומים שונים. התחום
הראשון, שנחשב פשוט יותר, הוא של האבטחה לתשתיות התקשורת. התחום השני, שנחשב
למורכב יותר, ובו אנו נתמקד, הוא התחום של אבטחת מידע אפליקטיבית. הרעיון הוא בעצם
לאבטח את האפליקציה - זוהי התכונה הסופית שבה המשתמש עושה שימוש. בעוד שאבטחה
לתשתית עושה שימוש במוצרים גנריים שמתאימים לכלל התשתיות, הרי שבמקרה של האבטחה
האפליקטיבית יש אתגר מיוחד - כי לכל אפליקציה יש תכונות משלה וצורת הפעלה משלה -
ומכאן שגם בעיות האבטחה שלה, יהיו שונות מאד.
אז במה מתמקדים באבטחת המידע האפליקטיבית?
●
אפיון ופתרונות מקומיים - אחד הדברים
שחשוב מאד להקפיד עליהם, הוא לאפיין בצורה מפורטת מאד את בעיות האבטחה שיכולות
להיות לכל אפליקציה, ולאחר מכן, לנסח עבורה פתרונות של אבטחת מידע. למעשה, אי אפשר
להתבסס אך ורק על פתרונות גנריים. גם פתרון כמו פיירוול כאמור - יכול לספק הגנה
בעיקר לתשתית של מעבר המידע - אבל לא לאפליקציה עצמה. מכאן, יש צורך בפתרונות
מקומיים שיפותחו במיוחד.
●
האם יש צורך בשינויים? - יש לקחת בחשבון,
שאם לא מקפידים על כך, הרי שהבעיות באבטחת המידע ייפתרו, רק לאחר שהן יתפרצו. כלומר,
מאחר שבחלק מהארגונים, מזניחים את הנושא ומסתפקים בפתרונות גנריים, הרי שרק אחרי
פריצה לאפליקציה עצמה, מחפשים פתרונות הולמים של אבטחת מידע. במקרים הללו יש צורך
לשנות מחדש את הקוד, ואף לפנות שוב למהנדסי התוכנה המתאימים כדי לשנות את
האפליקציה.
●
בין האפליקציה לשרת - אחת טעויות
שאנשים עושים, זה לחשוב שחלק מהפתרונות שהולמים את התשתית מתאימים גם לאפליקציה כי
הם מתחברים אליה. כך למשל, פרוטוקול להגנה על התקשרות בעת מסירת פרטי אשראי (SSL) הוא יעיל מאד להעברת הנתונים - אבל לא מתייחס
כלל למצב שבו כל הנתונים כבר נטענו ונמצאים מול המשתמש - ואז דווקא, הסכנה לפריצה היא
גבוהה, ולכן יש צורך בפתרונות לאבטחת המידע גם במקרים כאלה, באופן ידני.
ומה עוד אתם צריכים לזכור?
כדאי
כמובן לפנות תמיד למומחים בתחום אבטחת המידע, שכן הם אלו שיוכלו לספק לכם את
הפתרונות ההולמים ביותר והמתקדמים ביותר.
